갠드크랩(GandCrab) 랜섬웨어

최근 갠드크랩에 대한 소식을 들으며 마치 좀비같다는 생각을 했다.

갠드크랩(GandCrab) 이란?

갠드크랩은 랜섬웨어의 한 종류로서, 암호화된 파일 확장자가 GDCB이며 토르코인을 요구하는 것이 특징이다. 갠드크랩의 등장은 비트디펜더라는 보안 소프트웨어 기업의 활약으로 숨이 죽었지만 지난 3월달에 2.0버전으로 다시 찾아왔으며, 최근 2.1버전으로 업그레이드 버전으로 또다시 찾아왔다고 한다.

2.0 무엇이 바뀌었을까?

2.0 버전의 가장 큰 변화는 암호화된 파일 확장자가 CRAB으로 바뀌었다는 점이다. 코드에 대한 자신감의 영향이었을 까? 이전보다 갠드크랩 랜섬웨어인 것을 인지하기가 쉽고, 그만큼 이름과 매치가 잘된다. 확장자 뿐만 아니라 암호화 알고리즘의 수정과, 악성코드 관리 서버가 변경된 점 등이 2.0 버전의 변화라고 볼 수 있다.

2.1 무엇이 바뀌었을까?

2.0버전의 랜섬웨어는 유명인사들을 사칭하여 지원서 및 프로그램으로 위장한 랜섬웨어를 관련 직종에 종사하는 사람들에게 전송하는 배포방식을 보여주었다. 2.1버전으로 업그레이드 되면서 드라이브 바이 다운로드 방식으로 배포가 된다. 이는 사이트에 접속하기만 해도 악성코드가 다운로드 및 설치가 된다. 그 과정에서의 가시적인 변화가 없기 때문에 일반 사용자가 쉽게 알아차리기가 힘들다. 또한 2.1 버전에서는 패킷 추적을 어렵게 하기 위해 감염된 사용자 PC를 재부팅 하는 알고리즘도 추가 되었다. 이번 버전 역시 암호화된 파일 확장자는 CRAB으로 같으나 순서가 조금 변경되었다. 기존에는 대상 파일을 암호화 한 후에 파일명을 변경하는 방식이었으나 2.1버전에서는 파일명을 먼저 변경한 후에 암호화를 진행한다. hwp 확장자 파일이 암호화 되는것으로 보아 국내 인터넷 사용자도 감염대상임을 추측해볼 수 있다.